Temat: Bezpieczeństwo uwierzytelniania i zarządzania sesjami

Wciąż pracując nad nową wersją swojej strony zamieszczam nowy artykuł, jako wprowadzenie do bezpieczeństwa aplikacji WEB:

http://rotflonline.pl/?action=viewArticle&articleId=8

Temat: Bezpieczeństwo uwierzytelniania i zarządzania sesjami

"Nie stosujcie do uwierzytelniania metody GET. Zamiast tego należy używać POST."

Dla sprawnego deva to jeden pies i przed niczym nie uchroni ;).

Naprawdę fajny wpis, ale nie wiem do kogo dokładnie go kierujesz. Laicy i tak nie zrozumieją połowy rzeczy, a dla profesjonalistów jest z kolei zbyt dużo oczywistych spraw - gentlemani o nich nie rozmawiają ;).

Temat: Bezpieczeństwo uwierzytelniania i zarządzania sesjami

chodziło oto:

?login=jacek&password=kecaj

to sie wciaz spotyka

a mowimy o publicznych komputerach także, wiesz biblioteki, uczelnie

jako nawiazanie do tego postaram sie na dniach wrzucic demonstaracje mozliwosci chmury microsoftu albo google

hasla do poczty msn igmail sa niezyfrowane i dosyc latwo je uzyskac

a potem obiecany juz komus fuzzing aplikacji php

wciaz staram sie artykuly wpoysrodkowac jakos, wiec dzieki za kazde sugestie

Temat: Bezpieczeństwo uwierzytelniania i zarządzania sesjami

"Wiem, że większość ludzi z IT, w tym także hakerów ma ogromne ego. Staramy się być mądrzy, choć nie zawsze to co robimy jest mądre."

true :)

Jeśli chodzi o ukierunkowywanie to nie widzę takiej potrzeby, weźmy jakikolwiek podręcznik z napisem "zaawansowane programowanie" niemal w każdym znajdziemy informacje o podstawach które nas nie interesują.
Dobrze że to podsumowałeś i udostepniłeś dla ogółu, amatorzy zrozumieją jak daleko im do doskonałości a profesjonaliści porównają swoją wiedzę z równym sobie.

Temat: Bezpieczeństwo uwierzytelniania i zarządzania sesjami

Adrian Stolarski:
chodziło oto:

?login=jacek&password=kecaj

Pamiętajmy o serwisie Orange i możliwości zmiany aktualnie przeglądanego billingu poprzez zmianę numeru telefonu w GET ;). Stare czasy, ale afera była.

Temat: Bezpieczeństwo uwierzytelniania i zarządzania sesjami

Mam takie pytanie. Co by Was bardziej zainteresowało?

1) Fuzzing - czyli automatyzacja wyszukiwania newralgicznych miejsc w kodzie
2)Czy jednak pokazanie błędów w chmurach? Microsoftu lub Google? Aczkolwiek w drugim przypadku zabawy z chmura muszą się odbyć za pozwoleniem tych firm.

Temat: Bezpieczeństwo uwierzytelniania i zarządzania sesjami

Adrian Stolarski:
Wciąż pracując nad nową wersją swojej strony zamieszczam nowy artykuł, jako wprowadzenie do bezpieczeństwa aplikacji WEB:

http://rotflonline.pl/?action=viewArticle&articleId=8

a) zmieniłbyś ten domyślny wygląd... przy aktualnym wiem jak wygląda kod strony (Elated Communications) - to jest proszenie się o włam

b) dodaj fragmenty kodu (z formatowaniem), jako programistę interesuje mnie przede wszytkim
1) tytuł artykułu, 2) język w którym są przykłady w kodzie 3) reszta

c) sformatuj fragmenty kodu - np. SyntaxHighlighter
http://alexgorbatchev.com/SyntaxHighlighter/manual/bru...Piotr L. edytował(a) ten post dnia 19.05.12 o godzinie 10:21

Temat: Bezpieczeństwo uwierzytelniania i zarządzania sesjami

Piotr L.:

Adrian Stolarski:
Wciąż pracując nad nową wersją swojej strony zamieszczam nowy artykuł, jako wprowadzenie do bezpieczeństwa aplikacji WEB:

http://rotflonline.pl/?action=viewArticle&articleId=8

a) zmieniłbyś ten domyślny wygląd... przy aktualnym wiem jak wygląda kod strony (Elated Communications) - to jest proszenie się o włam

Ok, to da się zrobić nawet za chwilę.

b) dodaj fragmenty kodu (z formatowaniem), jako programistę interesuje mnie przede wszytkim
1) tytuł artykułu, 2) język w którym są przykłady w kodzie 3) reszta

c) sformatuj fragmenty kodu - np. SyntaxHighlighter
http://alexgorbatchev.com/SyntaxHighlighter/manual/bru...

Dzięki za sugestie. W artykule o fuzingu na pewno się to znajdzie.

Temat: Bezpieczeństwo uwierzytelniania i zarządzania sesjami

Adrian Stolarski:

Piotr L.:

Adrian Stolarski:
Wciąż pracując nad nową wersją swojej strony zamieszczam nowy artykuł, jako wprowadzenie do bezpieczeństwa aplikacji WEB:

http://rotflonline.pl/?action=viewArticle&articleId=8

a) zmieniłbyś ten domyślny wygląd... przy aktualnym wiem jak wygląda kod strony (Elated Communications) - to jest proszenie się o włam

Ok, to da się zrobić nawet za chwilę. Zastanawiam się jak to rozwiązać, czy httacess czy z poziomu PHP.

b) dodaj fragmenty kodu (z formatowaniem), jako programistę interesuje mnie przede wszytkim
1) tytuł artykułu, 2) język w którym są przykłady w kodzie 3) reszta

c) sformatuj fragmenty kodu - np. SyntaxHighlighter
http://alexgorbatchev.com/SyntaxHighlighter/manual/bru...

Dzięki za sugestie. W artykule o fuzingu na pewno się to znajdzie.

Temat: Bezpieczeństwo uwierzytelniania i zarządzania sesjami

Adrian Stolarski:
Wciąż pracując nad nową wersją swojej strony zamieszczam nowy artykuł, jako wprowadzenie do bezpieczeństwa aplikacji WEB:

http://rotflonline.pl/?action=viewArticle&articleId=8

Przechowujcie hasła w zaszyfrowanej formie. Nie używajcie algorytmów, takich jak DES, 3DES,
MD5 czy SHA, bo skoro człowiek za pomocą kartki papieru łamie je w ciągu 15 minut, w jakim czasie łamie je program?

To teraz studentom informatyki na egzaminie daje się łamanie 3DES? ;)

Temat: Bezpieczeństwo uwierzytelniania i zarządzania sesjami

Tomasz K.:

Adrian Stolarski:
Wciąż pracując nad nową wersją swojej strony zamieszczam nowy artykuł, jako wprowadzenie do bezpieczeństwa aplikacji WEB:

http://rotflonline.pl/?action=viewArticle&articleId=8

Przechowujcie hasła w zaszyfrowanej formie. Nie używajcie algorytmów, takich jak DES, 3DES,
MD5 czy SHA, bo skoro człowiek za pomocą kartki papieru łamie je w ciągu 15 minut, w jakim czasie łamie je program?

To teraz studentom informatyki na egzaminie daje się łamanie 3DES? ;)

md5?
chyba tylko tęczowe tablice wchodzą w grę a to z kartką papieru nie ma nic wspólnego

Temat: Bezpieczeństwo uwierzytelniania i zarządzania sesjami

Przemysław R.:
md5?
chyba tylko tęczowe tablice wchodzą w grę a to z kartką papieru nie ma nic wspólnego

Dlatego jestem ciekaw, jaki magik rozwala md5 w 15 min. na kartce papieru. Chciałbym mu przesłać moje wyrazy szacunku ;)

md5 jest uznawana za słabiznę od wielu lat, ale kto używa gołego md5 dzisiaj? Nawet w Wordpressie jest używany md5, ale w połączeniu z salt i kilkoma tysiącami iteracji.

Temat: Bezpieczeństwo uwierzytelniania i zarządzania sesjami

md5 jest uznawana za słabiznę od wielu lat, ale kto używa gołego md5 dzisiaj? Nawet w Wordpressie jest używany md5, ale w połączeniu z salt i kilkoma tysiącami iteracji.

Właśnie o to tam chodzi mniej więcej.

Temat: Bezpieczeństwo uwierzytelniania i zarządzania sesjami

W każdej aplikacji internetowej, użytkownicy powinni być zobowiązani do zmiany hasła co pewien czas. Ja osobiście uważam, że idealnym czasem jest miesiąc czasu.

mi wystarczy że w wielu miejscach muszę zmienić co trzy miesiące, z czego obwarowania odnośnie hasła są tak duże, że doprowadza to ludzi do zawału wręcz.

zastanawiałem się kiedyś na ile w statystykach potencjalnych włamań, są to próby zwykłych użytkowników przypomnienia sobie hasła, albo zapomnienia że zmienili niedawno hasło, a na ile rzeczywiste włamania.

chętnie zapoznam się z jakimś opracowaniem odnośnie wpływu częstotliwości zmian haseł na bezpieczeństwo.
Dobre opracowanie też jak zmiana hasła (co jakikolwiek czas) wpływa na potencjalne włamanie.

bo to że wpływa na ilość nieautoryzowanych wejść od czasu włamania to wierzę.Krzysztof D. edytował(a) ten post dnia 19.05.12 o godzinie 19:13

Temat: Bezpieczeństwo uwierzytelniania i zarządzania sesjami

Tak istnieje na to pewien wzor w kryptografii nawet.

Hacker za jednym zamachem jest w stanie sprawdzic iles tamhasel, powiedzmy 25 tysiecy z miliona.
Masze hasło moze sie znalezc w tych 25 tysiacach sprawdzownych hasel odrazu. Al jesli ono zmienimy i znajdzie się zas w poprzednio wyprobowanych 25 tysiacach nikt go nie odgadnie...

Nie pamiętam już wzoru. Wybaczcie. Ale takie badania są przeprowadzane. Dzis o tm rozmawiałem telefonicznie z jednym z profesorów. Obiecał przysłać wzory. Nazwiska nie chcę ujawniać.

Złamanie md5 czy tripledes nie stanowi problemu. Są to tak zwane algorytmy synchroniczne. Za jakiś czas powtórzysię klucz.

Przy triple des nalezy pamietac o jednym, o czym zapomnieli kiedys ludzie od unixow:

a) masz szyfroawnie des niby 2x64 bity, ale 8 bitow z kazdych 64 masz bity kontrolne
b) potem ci wchodi jakas zmienna pobrana z otoczenia i masz ją szyfrowaną DES. Ptem masz calość łączone i zaś szyfrowane DES.

Wiedzac czym jest S, rozwalasz cale szyfrowanie. Wsio. W przypadku unix/linux był to id uzytkownika. Obecnie i do niego i do innych jako S pobiera się coś innego, np. czestotliwość odswierzania monitora, czy ruch mysza, zalezy jak określicie S.

Naprawdę nie chce mi się tego tłumaczyć od podstaw, ale jak okażecie zainteresowanie obiecuje to wyjaśnić na łamach rotfla. Pasuje takie rozwiązanie?

Temat: Bezpieczeństwo uwierzytelniania i zarządzania sesjami

Adrian Stolarski:
Złamanie md5 czy tripledes nie stanowi problemu. Są to tak zwane algorytmy synchroniczne. Za jakiś czas powtórzysię klucz.

od kiedy wrzucamy funkcję skrótu i szyfrowanie blokowe do jednego wora?

Temat: Bezpieczeństwo uwierzytelniania i zarządzania sesjami

Mówię 15 raz nie siedzę w tym na tyle, zeby być wiarygodny. Pamiętam to co zapamiętałem z wykładów na temat kryptografii. Od tego czasu mineło 6 lat....

Temat: Bezpieczeństwo uwierzytelniania i zarządzania sesjami

Adrian Stolarski:
Tak istnieje na to pewien wzor w kryptografii nawet.

Hacker za jednym zamachem jest w stanie sprawdzic iles tamhasel, powiedzmy 25 tysiecy z miliona.
Masze hasło moze sie znalezc w tych 25 tysiacach sprawdzownych hasel odrazu. Al jesli ono zmienimy i znajdzie się zas w poprzednio wyprobowanych 25 tysiacach nikt go nie odgadnie...

tak chyba piszesz o tym, nie znajac tematu. dajesz rekomendacje nie wiedząc jaki mają wpływ na bezpieczeństwo. proponuję Ci zrobić sobie wykres zależności częstotliwości zmiany hasła, od poziomu bezpieczeństwa z tego wynikającego i poziomu wkurzenia użytkowników.
jak piszesz wzory już masz (z tym wkurzeniem trochę trudniej będzie).

a potem pomysleć, czy nie lepiej w sytuacjach gdzie ktoś rzeczywiście chciałby się włamywać, zastosować inne skuteczniejsze rozwiązania, jak blokowanie IP, nazwy użytkownika, stosowanie SMS'ów z jednorazowymi hasłami, czy hard token'y.

Temat: Bezpieczeństwo uwierzytelniania i zarządzania sesjami

Adrian Stolarski:
Mówię 15 raz nie siedzę w tym na tyle, zeby być wiarygodny. Pamiętam to co zapamiętałem z wykładów na temat kryptografii. Od tego czasu mineło 6 lat....

Czyli potwierdzasz, że nie wiesz o czym piszesz, ale mimo wszystko piszesz i jeszcze chwalisz się tym na forum dla programistów? Nie chcę Cię martwić ale takim artukułem kompletnie się dyskredytujesz w środowisku. Ale może właśnie o to chodzi? Jeśli tak to gratuluję :)

Jeżeli czegoś nie rozumiesz, albo się nie znasz to po prostu nie pisz. Bo później kolejni "programiści" znajdują takie artykuły i powielają bez przerwy te same błędy.

Przykro mi, ale niestety nie ma się czym chwalić.Aleksander Wons edytował(a) ten post dnia 22.05.12 o godzinie 21:04

Temat: Bezpieczeństwo uwierzytelniania i zarządzania sesjami

Adrian Stolarski:
Wciąż pracując nad nową wersją swojej strony zamieszczam nowy artykuł, jako wprowadzenie do bezpieczeństwa aplikacji WEB:

http://rotflonline.pl/?action=viewArticle&articleId=8

Aleksander Wons:
Czyli potwierdzasz, że nie wiesz o czym piszesz, ale mimo wszystko piszesz i jeszcze chwalisz się tym na forum dla programistów? Nie chcę Cię martwić ale takim artukułem kompletnie się dyskredytujesz w środowisku. Ale może właśnie o to chodzi? Jeśli tak to gratuluję :)

ROTFL :]